DHCP Snooping

Posted: 11 Mayıs 2011 in Switch

DHCP, istemci cihazlarin; IP adresi, alt ag maskesi, varsayilan ag geçidi ve DNS adresi gibi bilgileri otomatik olarak edinmesini saglayan bir protokoldür. Sisteme getirdigi faydanin yaninda, birtakim güvenlik tehditlerine açik kapi birakmasi nedeniyle aglarda bir takim önlemlerin alinmasi zorunludur.

Agda sahte  DHCP sunucusu kuran ve çalistiran bir kisi, ayni agda DHCP isteginde bulunan istemci cihazlara varsayilan ag geçidi adresi kendisine ait olan bir DHCP cevabi dönebilir. ?stemci bu cevabi aldigi andan itibaren ag geçidi adresi olarak bu sahte adresi kullanmaya baslar ve yerel agin disinda bir adresi hedefleyen paketleri ilk olarak atak yapan kisinin makinesine yönlenir. Atakçi bu paketleri gitmeleri gereken dogru adreslere kendi üzerinden gönderirken tüm paketleri izleme olanagina sahip olur

Man-in the-middle ataklarinin bir türü olan DHCP Snooping ataklari tam olarak bu sekilde gerçeklesir.Ciddi bir tehdit unsuru olan bu atagi engellemek için Cisco anahtarlayici cihazlarda DHCP Snooping özelligi kullanilmaktadir. DHCP Snooping özelligi bir cihazda etkinlestirilerek portlar trusted ve untrusted olarak kategorize edilebilir ve böylece gerçek DHCP sunucularinin hangi portlar üzerinden yayin yapacagi cihaza ögretilmis olur. Untrusted portlardan gelen DHCP istekleri anahtarlayici tarafindan incelenir. Untrusted portlardan gelen cevaplar ise cihaz tarafindan çöpe atilir ve ataga maruz kalan port shutdown edilir

Dhcp snooping yapilandirma adimlari.

DHCP Snooping özelligini etkinlestirmek için global konfigürasyon modunda su komut isletilmelidir:

Switch(config)#ip dhcp snooping

DHCP snooping özelliginin hangi VLAN’lerde etkinlestirilecegini belirtmek için su komut isletilir:

Switch(config)#ip dhcp snooping vlan vlan-id

Varsayilan olarak bütün anahtarlayici portlari untrusted modundadir ve DHCP cevaplarini engeller. Bu yüzden gerçek DHCP sunucularin bulundugu portlar cihaza ögretilmelidir. Bunun için asagidaki komut dizisi isletilmelidir:

Switch(config)#interface type mod/num
Switch(config-if)#ip dhcp snooping trust

Yaptigimiz Dhcp snooping konfigurasyonunu “show ip dhcp snooping” komutu ile görebiliriz.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s